En Laravel generalmente las rutas de descarga las declaro en las rutas de web.
Depende del tipo de gestión de tu aplicación puede ser factible declararlas en web, porque sanctum para la SPA Authentication (Laravel 9) establece como mecanismo de acceso las sesiones, por lo que las rutas de web también son totalmente operativas.
Pero creo que tampoco habría problema en declararlas en el API, simplemente devuelves una response de download, para que el navegador te descargue el archivo en vez de que te devuelva un json.
Ya es cuestión de que en el fronten no tengas una llamada Ajax para descargar el archivo, sino un enlace normal.